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© Procede pour verifier I'integrite d'un logiciel ou de donnees, et systeme pour la mise en oeuvre de 
ce procede. 



© L'invention est relative a un procede et a un 
systeme pour verifier I'integrite d'un message, tei 
qu'un logiciel et/ou des donnees, par rapport a un 
message d'origine sense correspondre. 

Par application d'un algorithme (A) sur au moins 
une partie du message d'origine, au moins une 
signature (S1 , S2 ... Sm) de cette partie est calculee 
et est memorisee dans une zone de memoire (10) 
d'un objet portatif (1), possedant par ailleurs des 



circuits de traitement (11) susceptibles d'implemen- 
ter I'algorithme (A). Afin de verifier I'integrite d'un 
message, au moins une signature d'une partie de 
message est calculee par les circuits de traitement 
(11) de I'objet portatif, par mise en oeuvre de I'algo- 
rithme (A), et est comparee avec une signature du 
message d'origine sensee correspondre et memori- 
see dans la zone (10) de memore. 
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PROCEDE POUR VERIFIER L'INTEGRlTE D'UN LOGICIEL OU DE DONNEES, ET SYSTEME POUR LA MISE 
EN OEUVRE DE CE PROCEDE. 



L'invention est relative a un systeme pour veri- 
fier I'integrite d'un logiciel ou de -donnees, et a un 
systeme pour la mise en oeuvre de ce procede. 
Elle permet de verifier que des informations telles 
que des donnees qui doivent demeurer constantes 
d'une utilisation a I'autre d'un systeme informati- 
que, et qui sont memorisees sur un support, en 
des endroits precis de oe support, ou bien encore 
que des informations constituant les instructions de 
fonctionnement d'un programme informatique, en- 
core appele logiciel, n'ont pas ete alterees de 
fagon volontaire ou accidentelle entre des utilisa- 
tions successives. En effet, pour qu'un logiciel 
fonctionne correctement, il ne faut pas que ses 
instructions (ou bien encore que des donnees ne- 
cessaires entre deux utilisations successives) 
soient modifiees de fagon anarchique. 

En effet, depuis que les ordinateurs sont d'un 
usage quasi generalise, n'importe quel utilisateur 
peut acceder aux programmes d'application, ou 
bien encore aux systemes d'exploitation des ordi- 
nateurs. 

II arrive, en raison de cette possibility d'acces 
generalise, que des utilisateurs commettent des 
erreurs de manipulation, qui se traduisent par une 
alteration du programme ou des donnees necessai- 
res au fonctionnement du systeme informatique, ou 
bien encore que de fagon volontaire, certaines per- 
sonnes mal intentionnees modifient la structure des 
programmes, ou le contenu des donnees d'un sys- 
teme informatique, afin de perturber le fonctionne- 
ment du systeme. Dans ce dernier cas, le proble- 
me est encore plus crucial que lors d'une modifica- 
tion suite a une erreur, puisque la modification 
volontaire peut consister a introduire dans le pro- 
gramme, ou dans les donnees, des elements para- 
sites tels que des instructions qui, lorsqu'ils sont 
pris en compte par le programme, entrafnent une 
auto-modification de ce dernier, qui peut aller jus- 
qu'a sa destruction complete, par effet de diffusion 
de proche en proche. 

Par ailleurs, la plupart des logiciels sont main- 
tenant proteges contre la recopie, et contiennent a 
cet effet des moyens qui permettent que lors d'une 
copie, la copie, ou bien meme I'exemplaire original 
soit pollue et/ou se degenere au fur et a mesure 
des utilisations successives. Ceci peut poser un 
probleme lorsqu'un utilisateur de bonne foi a ache- 
te une copie faite en fraude et voit rapidement le 
logiciel devenir inutilisable. 

Ce genre de pollution des logiciels ou des 
donnees entrafne une degenerescence progressive 
du logiciel et est beaucoup plus difficile a detecter 
qu'une pollution entraTnant un dysfonctionnement 



immediat du logiciel. En effet, ce dernier type de 
pollution, entraTnant un dysfonctionnement imme- 
diat, est remarquable tres rapidement, puisque ge- 
neralement ceci se traduit par des resultats de 
5 traftement aberrants. 

Par contre, une pollution entraTnant une dege- 
nerescence de proche en proche, surtout lorsqu'el- 
le est faite dans un but nuisible, n'est pas force- 
ment detectable a la seule lecture des resultats, 
10 car elle peut §tre introduite d'une fagon telle que 
les resultats effectues lors des premieres utilisa- 
tions soient corrects ou tout au moins le semblent, 
les erreurs detectables se manifestant a Tissue 
d'un certain nombre d'utilisations. 
75 Enfin, un dernier type de pollution peut consis- 

ter, apres qu'un logiciel correct ait ete charge en 
vue de son execution, notamment iorsque le syste- 
me fonctionne en reseau, a faire en sorte que des 
instructions parasites soient intercalees ou substi- 
20 tuees a certaines des instructions normales de 
fonctionnement du logiciel. Ceci peut se faire a 
distance, par exemple par I'intermediaire de lignes 
de transmission. 

Dans ce cas, I'utilisateur qui a charge le logi- 
cs del, meme s'il sait que le logiciel original qu'il a 
charge est correct, ne peut pas forcement detecter 
['intrusion et la modification faite de I'exterieur, et il 
en resulte qu'il lance le programme qui va donner 
des resultats de traitement immediatement aber- 
30 rants. 

Les instructions ou donnees mises en oeuvre 
dans un systeme informatique sont codees sous 
forme de mots binaires, comportant chacun un 
nombre determine de bits. Un format usuel est 

35 I'octet, e'est-a-dire qu'un mot contient huit bits, 
pouvant avoir un etat logique "0" ou un etat logi- 
que "1". Selon le type d'instructions ou de don- 
nees, il peut etre necessaire d'employer pour une 
meme instruction ou une meme donnee plusieurs 

40 mots, et un logiciel est constitue par une succes- 
sion de ces mots. Les alterations, dont il a' ete fait 
mention auparavant, peuvent consister, soit a rajou- 
ter des mots binaires, done des instructions ou des 
donnees parasites, soit a modifier I'etat d'un ou 

45 plusieurs bits de certains mots du programme ori- 
ginal. 

Une premiere solution connue, pour detecter 
des alterations, et qui peut s'averer satisfaisante 
lorsqu'une instruction ou une donnee a ete modi- 
50 fiee de fagon involontaire, consiste a signer le 
logiciel, e'est-a-dire que suite aux instructions ou 
aux donnees, un ou plusieurs mots binaires consti- 
tuent la signature du logiciel et/ou des donnees. A 
cet effet, on considere que le programme original 



2 



3 



EP 0 402 210 A1 



est un message M auquel on fait subir une trans- 
formation S = f(M), dont le resultat S constitue une 
signature, que Ton appose a un endroit determine 
du logiciel. Par exemple, la signature peut etre 
constitute par le dernier mot du logiciel. 

Afin de verifier la signature au moment du 
chargement ulterieur du logiciel, en vue d'une utili- 
sation, la signature du logiciel charge est recal- 
culee et comparee avec la signature memorisee 
sur le support. En cas de concordance, ceci signi- 
fie que I'original n'a pas ete altere. 

Cependant, en cas de fraude volontaire, un 
fraudeur competent qui connaltrait la fonction ou 
Palgorithme utilise pour calculer la signature, peut 
faire en sorte qu'a chaque intrusion illicite, la signa- 
ture memorisee soit modifiee, et qu'en consequen- 
ce, lors de I'utilisation suivante, il y ait concordance 
entre la signature recalculee et la signature dernie- 
rement memorisee sur le support du logiciel ou de 
donnees. Ainsi, une personne chargee de verifier la 
conformite de la signature, en mettant en oeuvre 
1'algorithme de transformation du message, trouve 
une concordance et ne decouvre pas I'intrusion. 

Par ailleurs, cette methode est difficilement ap- 
plicable dans le cas od le logiciel est de taille 
importante, car chaque calcul de signature, en vue 
d'une verification, necessite un certain temps, pen- 
dant lequel le logiciel n'est pas utilise pour la 
fonction pour laquelle il a ete prevu. 

L'invention a pour but de remedier a ces in- 
convenients, en proposant un procede et un syste- 
me qui permettent de verifier en toutes circonstan- 
ces, de facon rapide et fiable, qu'un logiciel ou des 
donnees sont conformes et n'ont pas ete alteres de 
fagon volontaire ou non entre deux utilisations. 

Selon l'invention, un procede pour verifier I'in- 
tegrite par rapport a un message d'origine, d'un 
message contenant des informations, telles que les 
' instructions d'un logiciel ou des donnees informati- 
ques, du genre consistant a faire calculer par des 
circuits de traitement une signature a partir de ce 
message, est caracterise en ce qu'il consiste a 
faire prendre en compte par des circuits de traite- 
ment au moins une partie du message, et a faire 
elaborer, en fonction de iadite partie de message, 
a I'aide d'un algorithme execute par les circuits de 
traitement, au moins une signature, en ce qu'il 
consiste a associer au message d'origine un objet 
portatif electronique possedant des circuits de trai- 
tement et au moins une zone de memoire accessi- 
ble par les seuls circuits de traitement de I'objet, et 
en ce qu'il consiste a memoriser dans cette zone 
de memoire, sous controle des circuits de traite- 
ment de I'objet, chacune des signatures precedem- 
ment calculees, et en ce qu'il consiste, pour verifier 
1'integrite d'un message, a faire recalculer, par les 
circuits de traitement de I'objet, sans la divulguer a 
I'exterieur, au moins une signature, prenant en 



compte le m§me algorithme que celui utilise pour 
le calcul des signatures avant memorisation, et la 
meme partie du message ayant servi de base au 
calcul des signatures memorisees, et en ce qu'il 

5 consiste a faire comparer, par les circuits de traite- 
ment de I'objet, chaque signature recalculee avec 
la signature correspondante memorisee, et a indi- 
quer a I'utilisateur s'il existe une concordance ou 
une difference entre chaque signature memorisee 

70 et chaque signature correspondante recalculee. 

L'invention est done particulierement avanta- 
geuse car elle peut etre mise en oeuvre a tout 
moment de la duree de vie du logiciel ou des 
donnees. En effet, la memorisation des signatures, 

15 a Pinterieur d'un objet portatif, qui peut etre avanta- 
geusement un dispositif du genre carte a memoire 
et a microcircuits electroniques, peut etre faite a 
tout moment, par n'importe quel utilisateur qui des- 
ire se proteger. Ceci peut etre fait par le concep- 

20 teur, et dans ce cas I'objet portatif est fourni avec 
le logiciel ; ceci peut etre effectue par un utilisateur 
qui desire verifier que, au fur et a mesure des 
utilisations, son logiciel reste integre. Dans un tel 
cas, I'utilisateur se procure un objet portatif specifi- 

25 que vierge, et fait se derouler le programme de 
calcul de signatures au moment qu'il desire, en 
vue de leur memorisation, puis de fagon arbitraire, 
a I'aide de cet objet portatif, il peut parfois verifier 
I'integrite du logiciel. 

30 Par ailleurs, etant donne que le calcul des 
signatures en vue de leur comparaison avec les 
signatures initialement stockees s'effectue a Pinte- 
rieur de I'objet portatif, et puisque le controle de la 
conformite des signatures s'effectue en extrayant 

35 des signatures memorisees dans une zone acces- 
sible seulement par les circuits de traitement de 
I'objet portatif, il est impossible a un fraudeur de 
tromper le systeme. En effet, ce sont les circuits 
de I'objet portatif qui recalculent chaque signature 

40 et les envoient aux circuits de comparaison qui ne 
sont accessibles que sous controle des circuits de 
traitement. En consequence, si le message n'est 
pas integre, il est impossible d'envoyer une fausse 
signature a Padresse des circuits de comparaison, 

45 de sorte que toute modification ou intrusion est 
immediatement'detectee. 

Selon un mode de mise en oeuvre, une cle 
secrete, necessaire au calcul des signatures qui 
vont etre memorisees, est utilisee au moment de 

so I'elaboration de ces signatures, et est memorisee 
dans la memoire de I'objet portatif comme chaque 
signature calculee. La cle secrete peut etre un 
nombre aleatoire fourni au moment du calcul des 
signatures, puis qui est detruit a Pissue de ce 

55 calcul, apres memorisation dans I'objet portatif. 

Dans une variante,' la cle secrete utilisee pour 
le calcul des signatures en vue de leur memorisa- 
tion, est prealablement stockee dans I'objet portatif, 
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par exemple dans une phase de personnalisation 
de celui-ci, et est inaccessible de I'exterieur de 
I'objet portatif, et ce sont les circuits de traitement 
de I'objet portatif lui-meme qui effectuent le pre- 
mier calcul de signature, en vue de leur memorisa- 
tion, a I'aide de cette cle stockee prealablement. 

D'autres caracteristiques et avantages de ('in- 
vention apparaltront avec la description ci-apres, 
faite en regard des figures 1 a 6 annexees illustrant 
le principe, et certains moyens de mise en oeuvre 
de la presente invention. 

Sur les figures 1A a 1D, on a illustre la structu- 
re connue en soi d'une suite d'informations, a 
laquelle la presente invention est susceptible de 
s'appliquer. 

La figure 1A illustre le schema type de la 
structure d'un logiciel. Un logiciel est compose 
d'une suite d'instructions, dans Pexemple numero 1 
a numero k, codees sous forme binaire, a I'aide de 
mots reperables chacun par leur adresse. Dans 
I'exemple illustre, le logiciel comporte m mots bi- 
naires, m pouvant etre egal ou superieur a k. En 
effet, selon le type d'instructions, le codage d'une 
mime instruction peut affecter plusieurs mots bi- 
naires. C'est ce que Ton a illustre sur cette figure 
1A ou instruction N° 2 est codee sur deux mots, 
les mots 2 et 3. Chaque mot comporte generale- 
ment, dans un systeme informatique structure, un 
nombre n de bits determines, qui est generalement 
de la taille d'un octet, c'est-a-dire de huit bits, ou 
un multiple de I'octet. Bien entendu, ceci n'est pas 
limitatif et I'invention pourrait egalement s'appliquer 
a n'importe quelle autre structure de logiciel dans 
lequel le format des mots pourrait varier de I'un a 
I'autre. 

Un logiciel ainsi structure, avec des mots de 
meme longueur, c'est-a-dire n bits, si on le prend 
dans un ordre determine constitue un message de 
longueur totale, exprimee en bits L = m x n. De 
fagon generale, la longueur totale du message est 
constitute par la somme de I'ensemble des bits 
constituant chacun des mots utilises pour la se- 
quence d'instructions. 

L'invention est egalement applicable a la verifi- 
cation de I'integrite de sequences de donnees, ce 
que Ton a illustre par la figure 1 B. En effet, il peut 
etre necessaire de verifier I'integrite de donnees 
qui sont susceptibles d'etre utilisees de fagon re- 
petitive, car par exemple necessaires au deroule- 
ment d'un programme. 

Les donnees peuvent etre independantes du 
programme, comme illustre par la figure 1B sur 
laquelle on a represente un ensemble de m mots 
de n bits contenant un nombre j de donnees. 

Comme les instructions, les donnees peuvent 
etre codees sur plusieurs mots binaires, ce qui 
explique que le nombre j de donnees puisse etre 
different du nombre n de mots contenant ces don- 



nees, c'est-a-dire que j peut etre inferieur ou egal 
a m. 

La figure 1C illustre un exemple particulier de 
logiciel dans lequel sont melangees des instruc- 

5 tions et des donnees (x donnees et y instructions). 

II faut remarquer, d'une fagon generale, qu'une 
instruction peut etre considered comme une don- 
nee particuliere. 

Generalement, un logiciel est implante sur un 

to support particulier, par exemple dans la memoire 
centrale d'un -ordinateur, ou bien encore sur le 
disque dur contenant les programmes d'un micro- 
ordinateur. Egalement, il peut etre utilise directe- 
ment a partir du support d'origine, tel que la dis- 

75 quette sur laquelle il a ete implante au depart. Une 
non integrite du logiciel, volontaire ou non, se tra- 
duit par une modification de I'un ou I'autre des 
mots dont il a ete fait mention precedemment. 
La figure 1D montre qu'un mot est en fait 

20 constitue par un ensemble de bits pouvant prendre 
la valeur "0" ou "1", et la modification d'un mot se 
traduit par le changement d'etat de I'un des bits au 
moins. Une autre modification peut consister a 
superposer aux instructions ou donnees d'origine, 

25 des instructions ou donnees parasites. Ceci peut 
survenir lorsque le logiciel est charge sur un autre 
support que son support d'origine, par exemple 
lorsque le logiciel est implante sur un disque dur, 
afin d'etre utilise a partir de ce disque dur. 

30 Lorsqu'une instruction ou une donnee, soit pa- 

rasite, soit modifiee, est lue, il peut se produire 
alors des phenomenes incontrolables. 

La presente invention consiste a considerer 
que la suite des instructions ou donnees, que Ton 

35 designera dans la suite de la description indiffe- 
remment par I'un ou I'autre de ces termes, ou par 
le terme information, puisque l'invention s'applique 
indifferemment a la verification de I'integrite de 
logiciels et/ou de donnees, constitue un message 

40 de longueur L exprimee en bits, dont la valeur de L 
est egale au nombre de bits constituant le messa- 
ge. 

Une premiere solution, applicable directement 
aux messages de taille reduite, consiste a precal- 

45 culer une signature electronique du message, en 
utilisant un algorithme de transformation A de ce 
message, ledit algorithme pouvant prendre en 
compte en outre au moins une cle secrete, puis en 
stockant la signature obtenue S dans la memoire 

so electronique d'une carte a microcalculateur posse- 
dant I'algorithme utilise pour le precalcul de signa- 
ture, et I'objet portatif comporte en outre une zone 
de memoire accessible par les seuls circuits de 
traitement qu'il incorpore, contenant la cle secrete 

55 au cas ou elle a ete utilisee lors du precalcul de la 
signature. 

Au moment de la verification de I'integrite d'un 
message, I'utilisateur connecte I'objet portatif au 
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systeme contenant le logiciel, et lance un program- 
me de verification qui a pour effet de faire recal- 
culer, par les circuits de traitement de I'objet porta- 
tif, a I'aide de I'algorithme qu'il incorpore, et le cas 
echeant de la cle secrete, une autre signature 
prenant en compte la suite de bits constituant le 
message a verifier. 

La signature recalculee est alors comparee, a 
I'aide des circuits de traitement de I'objet portatif, a 
la signature initialement calculee et stockee dans la 
memoire de I'objet portatif, et accessible seule- 
ment par les circuits de traitement de ce dernier. Si 
le message ayant servi de base au calcul de la 
premiere signature est identique a celui ayant servi 
a la verification, c'est-a-dire dans le cas ou le 
logiciel et/ou les donnees n'ont pas ete alteres, 
alors la signature enregistree dans la memoire de 
I'objet portatif est identique a la signature recal- 
culee, ce qui peut etre indique a la personne 
effectuant la verification. 

On voit immediatement un autre interet de Tin- . 
vention : puisque la signature calculee pour le 
controle I'est par les circuits de traitement de I'ob- 
jet portatif, et est comparee a I'interieur de I'objet 
portatif, par les memes circuits de traitement, il 
devient impossible de simuler une fausse signatu- 
re, car elle ne serait pas prise en compte par les 
circuits de traitement, contrairement a ce qui se 
passait dans Tart anterieur ou un fraudeur pouvait 
associer a un logiciel et/ou a des donnees une 
fausse signature correspondant au logiciel ou aux 
donnees remaniees. 

La figure 2 illustre le principe d'un mode de 
mise en oeuvre de la presente invention, en vue 
d'effectuer le calcul de la signature qui doit §tre 
stockee dans la memoire de I'objet portatif servant 
par la suite au contrSle, et en utilisant une cle 
secrete K. 

Le message M de longueur L, est par exemple 
decoupe en blocs eiementaires B1 , B2 ... Bf, dont 
chacun contient un nombre de bits compatible 
avec le format de travail des circuits de traitement 
effectuant le calcul de la signature. On pourrait par 
exemple envisager que chaque bloc contienne un 
bit, mais avec les circuits de traitement actuels, 
chaque bloc sera plutot constitue par un nombre 
de bits multiple de I'octet. Le premier bloc B1 peut 
par exemple etre constitue par le premier mot du 
message servant de base a la signature, le second 
bloc B2 peut etre constitue par le second mot du 
message, et ainsi de suite jusqu'au dernier bloc Bf 
qui est constitue par le dernier mot du message. 
Bien entendu, il est tout a fait envisageable de 
compliquer la tache a un fraudeur, en utilisant un 
algorithme de calcul qui considere les mots, ou 
bien encore les bits de chaque mot dans un ordre 
different de I'ordre dans lequel ils apparaissent sur 
le support sur lequel ils sont implantes. 



Le principe mis en oeuvre consiste a calculer 
une signature dont le format est utilisable directe- 
ment par les circuits de traitement de I'objet porta- 
. tif, alors que le nombre de bits constituant le mes- 
5 sage peut §tre nettement superieur au nombre de 
bits correspondant au format de traitement des 
circuits. 

Le principe mis en oeuvre illustre par la figure 
2, consiste a effectuer autant d'operations qu'il y a 

m de blocs, et a combiner le resultat de chacune de 
ces operations, de facon a obtenir une signature S 
possedant un nombre (s) de bits limite. Une valeur 
d'initialisation VI peut etre appliquee a i'entree des 
circuits de traitement prenant en compte I'algorith- 

75 me A, et la cle secrete K est appliquee sur une 
autre entree des memes circuits, de sorte que 
I'application de la cle secrete K et de la valeur 
d'initialisation VI procure un premier resultat inter- 
mediate qui est combine avec le contenu du pre- 

20 mier bloc B1, par exemple par I'intermediaire d'une 
fonction OU EXCLUSIF. Le resultat de la transfor- 
mation est realise grace au OU EXCLUSIF qui est 
alors applique sur une premiere entree des circuits 
de traitement prenant en compte I'algorithme, la 

25 seconde entree prelevant la cle secrete K, de sorte 
qu'un second resultat intermediate est obtenu en 
sortie des circuits de traitement qui est combine" 
avec le contenu du second bloc B2 par I'interme- 
diaire de la m§me fonction de transformation, c'est- 

30 a-dire le OU EXCLUSIF. 

II en est ainsi pour chacun des blocs, chacun 
leur tour jusqu'au dernier Bf, dont le contenu est 
combine par I'intermediaire de la fonction OU EX- 
CLUSIF avec un resultat anterieur Rf obtenu par 

35 les circuits de traitement, par application de I'algo- 
rithme A sur la cle secrete K et sur le resultat du 
OU EXCLUSIF precedent. Le resultat obtenu a 
partir du OU EXCLUSIF applique sur le contenu du 
. bloc Bf et sur le resultat anterieur Rf, est combine 

4o a la cle K par I'intermediaire de I'algorithme A dans 
les circuits de calcul de la signature, et le resultat 
de cette derniere combinaison constitue la signatu- 
re S. 

II est bien entendu que la valeur d'initialisation 
45 VI doit etre la meme que celle qui servira aux 
calculs ulterieurs, en vue d'une verification. 

Lorsque la signature S a ete calculee, elle est 
alors stockee dans la memoire de I'objet portatif, 
de facjon a pouvoir servir de reference pour un 
50 controle ulterieur. Lorsque I'on veut controler I'inte- 
grite du message, avant de s'en servir, il suffit 
alors de faire verifier par I'objet portatif que la 
signature calculee est bien egale a celle qui a ete 
stockee de fagon inaccessible, autrement que par 
55 les circuits de traitement, dans la memoire de 
I'objet portatif. 

Une valeur d'initialisation VI peut etre consti- 
tute par une valeur contenue dans I'objet portatif, 
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par exemple par le numero de serie de celui-ci. II 
peut egalement s'agir d'un code confidentiel, qui 
est entre par la persenne langant le calcul de la 
signature qui doit etre memorisee, et qui sera par 
la suite fourni aux autres utilisateurs susceptibles 
d'avoir a effectuer une verification de I'integrite du 
message. Enfin, la valeur d'initialisation VI peut etre 
constitute par le contenu d'un registre memoire 
particulier de I'objet portatif, dont le contenu est 
identique a chaque utilisation de I'objet portatif. La 
valeur VI peut encore etre un nombre aleatoire 
determine par les circuits de traitement au moment 
du calcul des signatures avant leur memorisation, 
et qui est par la suite memorise en mime temps 
que les signatures. 

Le mode de mise en oeuvre illustre par la 
figure 2 n'est qu'un exemple, et il est bien entendu 
que Ton peut utiliser I'algorithme differemment, et 
que Ton peut se passer de ('utilisation d'une valeur 
d'initialisation, ainsi que de la cle secrete K, ou 
bien que Ton peut utiliser des fonctions autres que 
la fonction OU EXCLUSIF qui a ete envisagee. 

Dans la memoire d'un objet portatif destine a 
la verification de I'integrite d'un message est conte- 
nue au moins une signature S, et I'objet portatif 
comporte par ailleurs des circuits de traitement, 
tels qu'un processeur, et un algorithme de transfor- 
mation A. L'objet portatif est agence de fagon a ce 
que le message a verifier puisse etre adresse au 
circuit de traitement de I'objet portatif. Eventuelle- 
ment, I'objet portatif contient aussi une cle secrete 
K, et une signature est dans ce cas le resultat d'un 
chiffrement. 

La figure 3 illustre une variante perfectionnee 
d'un objet portatif 1 qui contient dans sa zone de 
memoire non volatile 10 et accessible par les seuls 
circuits de traitement 1 1 de I'objet, plusieurs signa- 
tures S1, S2 ... Sm, de meme qu'une cle secrete 
unique K. Chaque signature est en fait la signature 
d'un message different, et a ete obtenue a partir 
de la meme cle secrete K. On peut avoir cette 
configuration lorsqu'un meme fournisseur de logi- 
ciels procure plusieurs logiciels a un meme utilisa- 
teur. Dans ce cas, la signature de chacun des 
logiciels peut etre stockee dans le m§me objet 
portatif. 

Par ailleurs, I'algorithme A est memorise dans 
une autre zone 12 de I'objet. 

Ce peut etre encore le cas lorsqu'un utilisateur, 
qui desire se proteger, utilise un objet portatif spe- 
cifique qui contient au depart une cle secrete K, et 
dans lequel il fait memoriser la signature de cha- 
cun des logiciels et/ou supports de donnees dont il 
dispose. 

Dans un tel cas, ou un meme objet portatif 
contient les signatures de plusieurs messages, il 
faut que chaque signature soit associee a des 
moyens pour identifier le message d'origine, afin 



qu'au moment d'une verification de signature, les 
circuits de traitement de I'objet portatif sachent 
retrouver dans sa memoire la signature du messa- 
ge d'origine sense correspondre au message a 

5 verifier. Pour ce faire, par exemple, un numero 
d'ordre, ou bien encore un identifiant different, est 
associe a chaque message d'origine, au moment 
du precalcul d'une signature en vue de sa memori- 
sation. Une donnee en correspondance avec ce 

70 numero d'ordre ou cet identifiant est memorisee 
dans I'objet portatif au moment ou la signature 
correspondante est memorisee, de sorte que les 
circuits de traitement de I'objet portatif sont en 
mesure de faire la correlation entre une donnee 

is identification et la signature correspondante. 

Le numero d'ordre, ou I'identifiant, peut etre 
soit determine par I'utilisateur qui desire effectuer 
le precalcul d'une signature en vue de sa memori- 
sation, soit par les circuits de traitement de I'objet 

20 portatif lui-meme. 

II est bien entendu qu'un objet portatif ne peut 
pas etre utilise seul, et que dans ce cas, comme 
dans toutes les variantes qui seront illustrees par la 
suite, il doit etre couple, par I'intermediaire de 

25 circuits de couplage et/ou d'interface, avec un sys- 
teme 2 plus vaste, et notamment avec le systeme 
de traitement de donnees dans lequel le message 
d'origine (logiciel ou donnees) va etre exploife. Ce 
systeme de traitement de donnees est generale- 

30 ment une partie d'un ordinateur et comporte au 
moins un clavier, et des moyens d'impression et/ou 
de visualisation. Les circuits de couplage et/ou 
d'interface permettent d'etablir un dialogue entre 
les circuits de traitement de I'objet portatif et les 

35 circuits de traitement du systeme plus vaste. 

Dans le cas ou c'est I'utilisateur qui determine 
le numero d'ordre ou I'identifiant d'un logiciel, il le 
rentre alors dans le systeme, par exemple, par 
I'intermediaire du clavier du systeme de traitement 

40 plus large. Par contre, lorsque ce sont les circuits 
de traitement de I'objet portatif qui determinent la 
donnee en correspondance, alors I'utilisateur est 
informe du numero d'ordre ou de I'identifiant asso- 
cie au message d'origine dont il vient de faire 

45 effectuer le precalcul de signature, suite a un dialo- 
gue qui s'est etabli entre les circuits de traitement 
de I'objet portatif et ceux du systeme plus large, 
soit par les moyens de visualisation de ce syste- 
me, soit par les moyens d'impression. 

50 Quelle que soit la variante utilisee, I'utilisateur 

doit garder trace, sur un support distinct, de I'iden- 
tifiant ou du numero d'ordre correspondant a un 
message d'origine donne, et doit I'indiquer au sys- 
teme, par I'intermediaire du clavier, ou d'autres 

55 moyens d'entree de donnees, au moment du calcul 
d'une signature pour verification, de sorte que les 
circuits de traitement de I'objet portatif effectueront 
la comparaison de signature uniquement sur la 
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signature sensee correspondre en memoire. 

Le calcul d'une signature, en vue de sa memo- 
risation dans les circuits de memoire 10 d'un objet 
portatif, peut etre effectue directement a partir des 
circuits de traitement 11 de I'objet portatif lui- 
meme et de la cle secrete qu'il renferme eventuel- 
lement suite a sa fabrication, ce qui est tres avan- 
tageux, puisque la signature peut etre calculee 
sans jamais etre divulguee a I'exterieur, car des 
que les circuits de traitement ont termine le calcul, 
ils effectuent la memorisation de la signature. On 
peut egalement envisager que le premier calcul de 
signature, avant sa memorisation, soit effectue par 
des circuits de traitement exterieurs a ceux de 
I'objet portatif et incorpores dans un systeme exte- 
rieur 2 auquel est susceptible d'etre connecte I'ob- 
jet portatif 1. Le systeme exterieur 2 est par exem- 
ple une unite de traitement du logiciel ou des 
donnees a verifier. Ces circuits exterieurs mettent 
en oeuvre le meme algorithme que celui contenu 
dans I'objet portatif. Dans un tel cas, si les calculs 
utilisent une cle secrete , celle-ci peut etre determi- 
nee au moment du calcul de chaque signature, 
puis memorisee en meme temps que cette dernie- 
re, ou bien encore la cle secrete peut etre prelevee 
a I'interieur de I'objet portatif, sous contr6le des 
circuits de traitement qu'il incorpore, puis transmi- 
se aux circuits extirieurs, en vue du calcul de la 
signature avant stockage de cette derniere. Cette 
solution pr^sente cependant I'inconvenient qu'il 
faut transmettre la cle secrete a I'exterieur et qu'il 
faut done par la suite la faire disparaltre des cir- 
cuits de traitement exterieurs apres calcul de la 
signature. Cette solution est cependant avantageu- 
se lorsque les logiciels, de taille plus importante, 
necessitent des temps de traitement assez impor- 
tants pour le calcul des signatures. En effet, le 
temps de traitement de I'unite centrale du micro- 
processeur peut constituer un obstacle a ('utilisa- 
tion du procede, dans la mesure ou la signature est 
calculee sur la base de la totalite du message 
constituant le logiciel et/ou les donnees. En effet, 
pour un logiciel de un megaoctet, il est necessaire 
de disposer de plus d'une heure de calcul avant 
d'obtenir le resultat du calcul de signature, et par 
consequent le resultat de la verification, car les 
circuits de traitement incorpores dans les objets 
portatifs usuels, tels que les cartes a microcircuits, 
ont des temps de traitement nettement inferieurs 
aux temps de traitement des ordinateurs plus puis- 
sants. 

Des temps de traitement eleves lors de la 
verification peuvent s'averer absolument inaccepta- 
bles pour une utilisation frequente. C'est pourquoi, 
dans une variante, on propose un processus de 
controle beaucoup plus rapide que le precedent, 
utilisable dans tous les cas de figure. Pour ce faire, 
le message est decoupe prealablement en un cer- 



tain nombre de parties ou modules M1, M2 ... Mm, 
et a chaque module on associe une signature S1, 
S2, S3 ... Sm, et chaque signature est memorisee 
dans une zone secrete differente d'un meme objet 

5 portatif. Selon la taille du message pour lequel on 
effectue le calcul de signature S1, S2, S3 ... Sm, 
avant leur stockage, on choisit de faire effectuer le 
calcul, soit par les circuits de traitement de I'objet 
portatif, dans le cas ou le message n'est pas de 

70 taille trop importante, ou bien, si la taille necessite 
un temps de calcul trop eleve, alors on fait effec- 
tuer les calculs par des circuits de traitement plus 
rapides, par exemple ceux d'un ordinateur auquel 
est accouple I'objet portatif pendant la phase de 

75 calcul des signatures. 

II faut cependant noter que, lors de la phase de 
calcul des signatures, en vue de leur stockage 
dans la memoire 10 de I'objet portatif, le temps de 
calcul n'est pas critique, de sorte qu'afin d'eviter 

20 de divulguer la cle secrete a I'exterieur, on prefere 
la solution consistant a faire effectuer le calcul par 
les circuits 11 de traitement de I'objet portatif lui- 
meme. 

On constate done que I'ensemble du message 
25 a servi de base a I'elaboration d'un certain nombre 
de signatures, de sorte que tous les bits constitutifs 
du message ont ete pris en compte. Dans un tel 
cas, il est possible d'utiliser plusieurs processus 
pour contrSler rintegrite du message ayant ainsi 
30 servi de base a I'elaboration de plusieurs signatu- 
res. 

Une premiere methode consiste a faire choisir 
au hasard plusieurs p modules differents parmi 
I'ensemble des m modules qui represented la tota- 

35 lite du logiciel a controler. Le nombre p peut etre 
predetermine et constant lors de chaque verifica- 
tion, les circuits de traitement se contentant de 
choisir des modules differents pour une verification, 
et etant agences pour avoir cette possibilite que les 

40 modules choisis d'une verification a I'autre soient 
eventuellement differents. 

Afin de determiner des modules, les circuits de 
traitement de I'objet portatif utilisent le meme pro- 
cessus que celui qui a ete utilise pour determiner 

45 les m modules ayant servi au calcul initial des m 
signatures. Ainsi, si lors du calcul initial le message 
a ete decoupe en modules de k bits, alors au 
moment de la verification des signatures, les cir- 
cuits de traitement de I'objet portatif redecoupent 

so le message qu'ils regoivent en modules de k bits, 
et choisissent aleatoirement parmi ces modules un 
nombre p de modules pour lesquels la verification 
de la signature va etre effectuee. Les circuits de 
traitement de I'objet portatif effectuent alors le cal- 

55 cul des signatures des p modules choisis et les 
comparent aux signatures qui sont sensees corres- 
pondre dans la memoire de la carte. 

La comparaison peut etre effectuee au coup 
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par coup, c'est-a-dire que des que la carte a effec- 
tue le recalcul d'une signature, elle verifie la 
concordance ou non de cette signature avec la 
signature sensee correspondre dans la memoire, 
ou bien encore I'ensemble des signatures recal- 
culees peut etre stocke dans une memoire tampon, 
puis la comparaison a lieu apres que les p signatu- 
res aient ete recalculees. 

Des lors que les circuits de traitement de I'ob- 
jet portatif detectent une difference entre une si- 
gnature recalculee, et la signature sensee corres- 
pondre en memoire de I'objet portatif, alors le 
message est juge non integre, et des moyens 
associes au circuit de traitement, tel que des 
moyens d'affichage du systeme auquel I'objet por- 
tatif est connects, indiquent le resultat positif ou 
negatif de la comparaison. 

Ainsi, a titre d'exemple, si le message d'origine 
a ete decoupe en modules de huit bits, le premier 
module etant constitue par les huit premiers bits du 
message, le second module etant constitue par les 
huit bits suivant, et ainsi de suite, la signature 
enregistree du premier module correspond au chif- 
frement des huit premiers bits, et la signature du 
second module correspond au chiffrement du neu- 
vieme au seizieme bit du message initial. Si, lors 
de la verification de signature, les circuits de traite- 
ment decident de verifier la signature du deuxieme 
module, alors les circuits de traitement prennent en 
compte la deuxieme serie de huit bits du message 
dont il faut verifier I'integrite, recalculent la signatu- 
re de cette deuxieme serie de huit bits du messa- 
ge a verifier en appliquant Palgorithme A sur cette 
serie de huit bits, et en appliquant eventuellement 
une cle secrete K si elle a ete utilisee lors du 
calcul avant memorisation, et la signature stockee 
dans la memoire de I'objet portatif, correspondant 
au deuxieme module initial, est comparee a la 
signature recalculee du module sense correspon- 
dre. 

Bien entendu, si les p signatures recalculees 
sont correctes, bien que la verification ne soit pas 
survenue sur les m signatures initialement cal- 
culees, puis stockees dans la memoire de I'objet 
portatif, le systeme considere cependant que le 
logiciel peut etre juge integre, et le resultat positif 
de la comparaison est indique. 

Le nombre p de modules sur lesquels I'objet 
portatif doit effectuer la verification des signatures 
peut etre predetermine, les modules verifies pou- 
vant par contre etre differents d'une verification a 
I'autre. Le nombre p de modules a verifier est 
indique aux circuits de traitement de I'objet portatif, 
et il est choisi de fagon que I'exhaustivite du 
controle soit suffisante pour atteindre un niveau de 
confiance acceptable. En effet, puisque Ton verifie 
p signatures au lieu des m signatures d'origine, on 
reduit le temps de calcul necessaire a la verifica- 



tion de fagon consequente par rapport au temps de 
calcul qui avait ete necessaire pour memoriser la 
totalite des signatures. 

Egalement, le nombre p de modules peut ne 

5 pas etre predetermine par avance, mais il peut etre 
choisi de fagon aleatoire par les circuits de traite- 
ment de I'objet portatif. Dans ce cas, il faut prevoir 
une verification de la valeur du nombre p calcule, 
pour eviter que la verification porte sur un nombre 

70 trap faible de modules, de sorte que la validite du 
controle ne serait pas suffisante. Par aiileurs, il ne 
faut pas que le nombre p soit trop sieve, afin que 
les temps de traitement demeurent neanmoins ac- 
ceptables. 

75 La figure 4 presente une courbe qui permet 

d'apprecier le nombre p de modules qu'il faut 
controler, en fonction du nombre total m de modu- 
les que contient le message, pour obtenir une 
probabilite Pr egale a 0,9, c'est-a-dire qu'elle pre- 

20 sente le nombre de modules qu'il faut controler 
pour que Ton ait neuf chances sur dix de decouvrir 
une alteration du message, dans le cas ou de plus, 
le message contient un module q de modules 
alteres equivalent au nombre p de modules contro- 

25 les. On constate ainsi que pour un logiciel cove- 
nant mille modules, dont une soixantaine environ 
seraient alteres, il faut controler soixante modules 
pour avoir neuf chances sur dix de decouvrir une 
alteration du message. 

30 En d'autres termes, ceci signifie que si on 

effectue la verification d'un soixantaine de signatu- 
res de modules, pour un message contenant mille 
modules, et que moins de soixante modules ont 
ete alteres, alors la probabilite de decouvrir une 

35 alteration a Tissue de ces soixantes controles est 
superieure a 9/10, et a contrario, elle diminue si le 
nombre de modules alteres est superieur. 

Afin de determiner le nombre p de modules 
qu'il faut verifier, il faut done effectuer un compro- 

40 mis entre le nombre q de modules susceptibles 
d'etre alteres et le nombre total n de modules que 
contient le message. 

En supposant que chaque module est repera- 
ble par un numero d'ordre, comme ceci a ete 

45 expose precedemment, le choix aleatoire des p 
modules, sur lesquels la verification de signature 
va etre effectuee, peut consister a fairs elaborer 
par les circuits de traitement de I'objet portatif p 
nombres aleatoires differents determinant chacun 

so le numero d'ordre du module choisi. 

Ainsi, en supposant que Ton desire effectuer 
quatre verifications, dans un ensemble de m modu- 
les, les circuits de traitement de I'objet portatif 
effectueront quatre tirages au sort de nombres 

55 inferieurs ou egaux a m, differents entre eux. Si, 
par exemple, le calcul donne les nombres 2, 4, j, 
m-1, alors les circuits de traitement de I'objet por- 
tatif effectueront le calcul des signatures des se- 
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conds, quatrieme, jeme, m-1eme modules du mes- 
sage dont il faut verifier I'integrite, et iront les 
comparer aux deuxieme, quatrieme, jeme, m-1eme 
signatures memorisees dans la memoire de I'objet 
portatif. 

A la suite de la comparaison, les circuits de 
traitement de I'objet portatif agiront sur des 
moyens permettant d'indiquer si une difference, ou 
bien encore une similitude a ete detectee lors des 
differentes comparaisons. 

Dans une variante, pour determiner quels mo- 
dules devront faire I'objet d'une verification de si- 
gnature, on fait calculer aux circuits de traitement 
de I'objet portatif un nombre binaire (a), de lon- 
gueur m, c'est-a-dire qui comporte un nombre de 
bits egal au nombre de modules constituant le 
message. Par ailleurs, on fait en sorte que le 
nombre binaire soit issu d'un code p parmi m, 
c'est-a-dire qu'il comporte un certain nombre de 
bits p dans un etat logique determine, alors que les 
m-p bits restant sont dans un etat logique comple- 
mentaire. Ainsi, par exemple, si I'etat initial des bits 
est I'etat logique "0", la generation du nombre (a) 
fera que p bits soient dans un etat different de 
I'etat de repos. Chaque bit pouvant etre repere par 
son numero d'ordre dans I'ensemble des m bits, 
on choisira d'effectuer la verification des signatures 
sur les modules dont le numero d'ordre correspond 
au numero au numero d'ordre des bits passes a 
"1" dans le nombre binaire aleatoire (a). 

D'autres possibilites encore peuvent etre envi- 
sagees par I'homme du metier, sans sortir pour 
autant du cadre de la presente invention. 

Les differentes variantes qui viennent d'etre 
exposees peuvent s'averer suffisantes et offrent un 
degre de securite satisfaisant pour determiner avec 
de bonnes probabilit.es qu'un message a ete altera 
ou non. Cependant, on peut envisager d'autres 
variantes qui permettent d'ameliorer la securite de 
la methode. 

Ces variantes perfectionnees sont realisees en 
tenant compte du fait qu'une intrusion frauduleuse 
consiste generalement a modifier une sequence 
d'instructions voisines dans le programme, ou bien 
encore a introduire des sequences parasites assez 
localisees et servant peu souvent. C'est seulement 
lorsque le programme en cours de deroulement 
utilise ces instructions parasites que les effets dus 
a leur presence peuvent s'averer desastreux. II 
peut en effet arriver que ces instructions parasites 
ne soient pas appelees par le programme en 
cours, sous certaines conditions d'utilisation, alors 
qu'elles le seront sous d'autres conditions. 

C'est pourquoi, afin d'augmenter ia probability 
de detection d'une modification locale extreme- 
ment peu utilisee, dans une variante de mise en 
oeuvre, prealablement au calcul des signatures, 
I'algorithme mis en oeuvre dans les circuits de 



traitement de I'objet portatif est tel qu'il organise un 
decoupage du message en blocs, independam- 
ment de leur contenu, et organise un entrelace- 
ment des blocs dans les calculs de- signatures, de 

5 fagon a rendre impossible toute modification cone- 
rente du message. Un ensemble de blocs entrela- 
ces forme un module. 

On peut ainsi considerer que chaque mot bi- 
naire elementaire, constituant le message, consti- 

10 tue un bloc. Dans un tel cas, si le format de travail 
des circuits de traitement est I'octet, chaque bloc 
sera constitue de huit bits. 

Dans une variante, on considere qu'un bloc 
n'est pas constitue par un seul mot binaire, mais 

75 par exemple par plusieurs mots binaires conse- 
cutifs dans la suite du message. Ainsi, un premier 
bloc peut etre constitue par exemple par les cent 
premiers mots binaires, c'est-a-dire les cent pre- 
miers mots du message dont on souhaite verifier 

20 I'integrite, et qui comportent chacun un nombre de 
bits determine, par exemple huit ou seize, ou tout 
autre valeur compatible avec les formats de travail 
des circuits de traitement de I'objet portatif, le 
second bloc etant constitue alors par les cent mots 

25 binaires suivant, et ainsi de suite jusqu'a la fin du 
message. 

Bien entendu, il peut arriver que le nombre 
total de mots constituant le message ne permette 
pas de constituer un dernier bloc avec autant de 

30 mots binaires appartenant au message que les 
blocs precedents. C'est le cas lorsque le quotient 
du nombre total de mots constituant le message 
par le nombre de mots choisis pour constituer 
chaque bloc n'est pas un nombre entier. Dans un 

35 tel cas, le dernier bloc ne peut pas contenir un 
nombre de mots issu du message egal au nombre 
que contiennent les blocs precedents. 

C'est par exemple le cas lorsqu'un message 
contient mille trente mots et que chaque bloc est 

40 constitue de cent mots. II est ainsi possible de 
constituer dix blocs de cent mots et il reste seule- 
ment trente mots pour constituer le dernier bloc. 
Dans un tel cas, le dernier bloc est constitue a 
I'aide de ces trente mots restant auquels on ajoute 

45 par exemple soixante-dix mots de valeur binaire 
nulfe, c'est-a-dire constitues exclusivement par des 
"0". 

Pour eviter cet artifice, on peut faire en sorte 
que le nombre de mots constituant chaque bloc 

so soit un diviseur exact du nombre de mots consti- 
tuant le message, de sorte que I'ensemble des 
blocs ne contiendra que des mots issus du messa- 
ge d'origine. Cette solution presente I'inconvenient 
qu'il est necessaire que les circuits de traitement 

56 comptabilisent le nombre total de mots constituant 
le message, prealablement a la constitution des 
blocs, pour determiner quel nombre de mots devra 
constituer chaque bloc. Prealablement, il faut done 
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que les circuits de traitement sachent quel est le 
nombre optimal de mots pour constituer chaque 
bloc, et si ce nombre optimal ne constitue par un 
diviseur du nombre total de mots constituant le 
message, les circuits de traitement doivent deter- 
miner quel est le diviseur de valeur inferieure qu'il 
faut employer. On concoit done que cette solution 
est un peu plus lourde et difficile a mettre en 
oeuvre ; elle est cependant envisageable. 

La figure 5 permet d'illustrer la fagon de com- 
prendre comment les blocs sont repartis a I'inte- 
rieur du message, et comment les circuits de trai- 
tement effectuant le calcul des premieres signatu- 
res, ou bien encore les circuits de traitement de 
I'objet portatif, Iorsqu'ils executent les calculs de 
verification, les entrelacent. 

Sur la figure 5, on a represents un ensemble m 
blocs numerates de b1 a bm. Chaque bloc peut 
etre constitue, comme decrit precedemment, par 
un seul mot binaire, ou par plusieurs mots binaires 
associes les uns aux autres. En associant un nom- 
bre determine de blocs entre eux, on obtient un 
module qui peut, par la suite, servir de base au 
calcul d'une signature, comme on l*a decrit aupara- 
vant. 

Si le message P est decoupe en m blocs 
numerates de B1 a Bm, il y a possibility de consti- 
tuer m/n modules, de n blocs chacun tels que le 
module Mi de rang i, soit constitue par les blocs de 
rang i, i + n, i + 2n, et ainsi de suite, jusqu'a i + 
rn avec 1 SiSnetOSrS m/n -1 . 

Ainsi, le premier module serait constitue par 
les blocs B1, B1 + n, B1 + 2n, ... , B1 + rn 
accoles les uns aux autres. 

La determination du nombre n doit etre faite de 
fagon que les temps de calcul et de verification de 
signatures ne soient pas trap longs d'une part, et 
d'autre part, pour que chaque module contienne, 
autant de possible, exclusivement des informations 
issues du message d'origine, ou du message a 
verifier. 

En effet, si n n'est pas un diviseur exact du 
nombre de blocs, certains modules pourraient 
contenir des informations autres que les informa- 
tions relatives aux messages sur lesquels il faut 
effectuer le calcul des signatures. II faudrait en 
effet completer certains modules, par exemple 
avec des "0" ou des "1 " binaires. 

C'est pourquoi, de preference, le nombre n de 
blocs constituant chaque module est choisi de fa- 
gon que n soit un diviseur du nombre total de 
blocs constituant le message. 

Independamment du nombre de mots consti- 
tuant chaque bloc, ou du nombre de blocs consti- 
tuant chaque module, on voit que rimbrication des 
blocs dans les modules et que les signatures sont 
totalement independantes de la structure meme du 
message, ce qui est particulierement important 



dans le cas ou le message est un logiciel sur 
lequel on veut effectuer des verifications d'integrite. 
En effet, la modification d'une partie du message, 
en raison de cette imbrication, est susceptible 

5 d'apparaitre au travers de plusieurs signatures, de 
sorte que I'on augmente la probability de detecter 
les modifications, puisque par rapport a leur etat 
d'origine, plusieurs modules sont susceptibles de 
subir des modifications. II y a done, en quelque 

70 sorte, une diffusion des modifications dans I'en- 
semble ou dans une partie non negligeable des 
modules. Cette disposition permet done de reduire 
le nombre de calculs de signatures de verification, 
par rapport a la disposition selon laquelle on consi- 

75 derait que chaque module etait constitue par un 
certain nombre de blocs se suivant dans I'ensem- 
ble du message. 

Une autre fagon de constituer les modules, 
illustree par la figure 6 consiste, d'une fagon sem- 

20 blable a ce qui a ete fait precedemment, a decou- 
per I'ensemble du message en blocs, B1, B2, B3 ... 
Bm, possedant chacun un nombre determine de 
bits ou de mots. Le bloc B1 est par exemple 
constitue par les k premiers mots binaires du mes- 

25 sage, le bloc B2 est constitue par les k mots 
suivant, et ainsi de suite jusqu'a la fin. La encore le 
nombre k est choisi, par exemple, pour §tre un 
diviseur du nombre de mots constituant le messa- 
ge, de fagon que le dernier mot constitue lors de 

30 I'arrangement en vue du calcul des signatures 
avant memorisation dans I'objet portatif soit consti- 
tue exclusivement de mots appartenant au messa- 
ge d'origine, et que I'on ne soit pas oblige par un 
artifice de finir le bloc avec des informations non 

35 significatives. 

Chaque bloc comporte done un nombre deter- 
mine de bits, chacun de ces bits etant reperable 
par son rang a I'interieur du bloc, et la constitution 
d'un module consiste a associer un ou plusieurs 

40 bits de rangs determines d'un bloc avec le ou les 
bits de memes rangs dans les autres blocs, puis le 
processus de calcul des signatures peut avoir lieu 
en utilisant les modules ainsi constitues. 

.Ainsi, en supposant que I'on prenne un bit 

45 dans chaque bloc pour constituer les modules, un 
premier module serait constitue par le premier bit 
du premier bloc, par le premier bit du second bloc, 
et ainsi de suite jusqu'au premier bit du dernier 
bloc constituant le message. Un second module 

so serait constitue par le second bit du premier bloc, 
le second bit du second bloc, et ainsi de suite. 

Chaque module est done constitue par une 
chaTne d'informations transversale du message 
considere, et il devient des lors tres difficile qu'une 

55 modification coherente d'une partie du message 
passe inapergue lors du recalcul des signatures, 
quel que soit le nombre de signatures recalculees 
et comparees par rapport au nombre initial de 
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signatures. En effet, generalement les instructions 
s'il s'agit d'un logiciel, ou bien encore des don- 
nees, sont ecrites successivement de fagon longi- 
tudinale, et la moindre modification coherente du 
programme ou des donnees se traduirait par une 
chaTne transversale differente quasiment impossi- 
ble a maTtriser simultanement. Par ailleurs, cette 
solution permet de reduire encore plus le nombre 
de signatures qu'il faut recalculer et comparer aux 
signatures correspondantes d'origine lors de la ve- 
rification du message. 

Plutot que de choisir une chaTne transversale, 
telle qu'elle a ete definie precedemment, on peut 
constituer un module a I'aide d'une chaTne d'infor- 
mations pseudo-transversale qui prend un nombre 
determine de bits dans chaque bloc, au moment 
du calcul de chaque signature avant leur memori- 
sation, de fagon aleatoire. Ainsi, il est possible de 
prendre le premier bit du premier bloc et de I'asso- 
cier au dernier bit du second bloc, puis de I'asso- 
cier a un bit de rang different du troisieme et ainsi 
de suite. Bien entendu, une telle association neces- 
sity ('utilisation d'un nombre aleatoire de reference, 
par exemple tire au moment du calcul de la signa- 
ture avant memorisation. Ce nombre aleatoire de 
reference est pris en compte par les circuits de 
traitement, pour determiner quelle suite de bits il 
faut consideVer, et doit §tre memorise" dans les 
circuits de memoire de I'objet portatif, de fagon a 
ce qu'au moment d'une verification, les circuits de 
traitement puissent savoir comment Ms doivent re- 
faire la repartition pour constituer des modules a 
partir du message sur lequel la verification doit 
porter. 

En outre, tout autre type de variante pour I'en- 
trelacement des blocs afin de constituer des modu- 
les, ou pour I'entrelacement des mots, voire meme 
des bits, afin de constituer des blocs, peut etre 
envisagee. En particulier, plutot que de suivre une 
suite logique pour I'entrelacement des mots ou des 
blocs entre eux, on peut envisager que I'entrelace- 
ment des mots, afin de constituer un bloc, ou des 
blocs afin de constituer un module, puisse se faire 
de fagon aleatoire. A cet effet, par exemple, les 
circuits de traitement, avant de constituer les mo- 
dules, en vue du calcul de leur signature pour 
memorisation, devront determiner comment sont 
reconstitues les modules, et il faudra memoriser 
les parametres utilises pour constituer les modules, 
afin de pouvoir faire les verifications ulterieures. 
Ainsi, on peut considerer que les circuits de traite- 
ment elaborent une suite de n nombres aleatoires, 
n correspondant au nombre de blocs qui constitue- 
ra chaque module, le message contenant un nom- 
bre m de modules, et la suite de nombres aleatoi- 
res V1, V2, V3 ... Vn, permet de determiner, a 
partir d'un bloc qui constituera le premier bloc d'un 
module, quels sont les autres blocs constitutifs de 



ce module. 

Dans ce cas, egalement, il faut garder trace de 
la suite de nombres aleatoires qui ont ete utilises 
pour .pouvoir reconstituer des modules a partir du 

5 message sur lequel il faut effectuer la verification. 

Bien que I'emploi d'une cle secrete soit prefe- 
rable, afin de securiser la verification, il existe 
cependant des cas ou cet emploi n'est pas neces- 
saire, que le message soit decoupe en modules ou 

w non et serve a I'elaboration d'une ou de plusieurs 
signatures distinctes. Elle procure seulement une 
plus grande securite, car elle evite que deux objets 
portatifs differents, utilises pour le calcul des signa- 
tures d'un meme message, enferment des signatu- 

75 res identiques, puisque la cle secrete contenue 
dans chacun des objets portatif est differente. Elle 
permet done de limiter les risques de fraude au 
cas oil un fraudeur observerait ce qui se passe 
avec un message tel qu'un logiciel, et chercherait a 

20 tromper les moyens de verification de signatures. 
L'emploi d'une cle secrete est important notam- 
ment lorsque le logiciel doit etre transfere d'une 
personne a une autre par exemple. Cependant, 
lorsque le calcul de la ou des signatures d'un 

25 message est requis par un utilisateur final, en vue 
de leur memorisation, pour une verification ulterieu- 
re, il n'est pas necessaire que I'objet portatif ser- 
vant a la verification contienne une cle secrete. La 
signature du message peut etre obtenue par une 

so simple transformation des donnees qu'il contient, 
prises dans leur ensemble, ou bien encore prises 
par modules distincts, a I'aide d'un algorithme, de 
sorte que chaque signature est une simple image 
des donnees qui ont servi a la calculer. En effet, 

35 dans le cas ou e'est un utilisateur final qui souhaite 
pouvoir verifier I'integrite de son support de don- 
nees, au fur et a mesure de ses utilisations, il n'y a 
aucun interet a ce qu'il cherche a tromper le syste- 
me. Dans un tel cas, une signature peut resulter 

40 d'une simple compression d'informations. 

Le calcul d'une signature portant sur un mes- 
sage ou une partie de message serait seulement 
fonction de ce message ou de cette partie de 
message auquel on ferait subir I'algorithme consi- 

45 dere. 

• Un objet portatif pour le calcul des signatures 
en vue de leur verification ne comprendra done 
plus, comme e'est le cas sur la figure 3 une zone 
10 de memoire incorporant la cle secrete K, mais 

50 par contre il pourrait contenir une ou plusieurs 
zones 10 de memoire contenant chacune une si- 
gnature S1 , S2, Sm, de meme qu'il comprendrait 
un processeur avec des circuits 11 de traitement 
pour la mise en oeuvre d'un algorithme A. 

55 En consequence, la generation d'une signature, 

telle qu'elle a ete decrite en regard de la figure 2, 
ne tiendrait plus compte de I'emploi de la cie 
secrete K lors de chaque operation intermediate 



21 EP 0 402 210 A1 22 



necessitee par le calcul de la signature. 

Un systeme pour la mise en oeuvre de I'inven- 
tion comporte un objet portatif 1 comprenant au 
moins une zone memoire 10 pour la memorisation 
d'au moins une signature du logiciel, et des circuits 
de traitement 11 memorisant un algorithme 12, 
pour au moins effectuer I'operation de recalcul des 
signatures, apres qu'au moins une signature origi- 
nate ait ete inscrite. Le fait que le recalcul soit 
effectue a I'interieur des circuits de traitement de 
I'objet portatif permet d'eviter a un observateur 
exterieur de voir la valeur de la signature recal- 
culee, meme si cet observateur a eu connaissance 
de la signature initialement calculee, en vue de son 
introduction dans la memoire de I'objet portatif, 
lorsque ladite signature memorisee avait ete cal- 
culee par des circuits de - traitement exterieurs a 
I'objet portatif, par exemple pour eviter d'avoir des 
temps de calcul trap importants. 

Les circuits de traitement de I'objet portatif 
contiennent done un algorithme ou programme de 
chiffrement A, pour au moins transformer un mes- 
sage M dont il convient de verifier I'integrite, et la 
memoire peut en outre contenir une cle K, dans le 
cas ou on veut conferer une plus grande securite 
encore. En outre, dans le cas ou la memoire de 
I'objet portatif contient un grand nombre de signa- 
tures appartenant chacune a un module different 
d'un message initial, il convient que les circuits de 
traitement de I'objet portatif soient agences de 
maniere telle qu'ils peuvent effectuer la verification 
sur un nombre limite de modules par rapport au 
nombre initial, afin de reduire les temps de calcul. 
Egalement, les circuits de traitement doivent etre 
en mesure de reconstituer les modules du messa- 
ge a verifier, de la meme facon qu'ils ont ete 
constitues lors du calcul des signatures et de leur 
memorisation. 

Bien entendu, la zone de memoire dans laquel- 
le les signatures sont memorisees est une zone de 
memoire non volatile. 

Par ailleurs, comme indique precedemment, 
I'objet portatif 1 seul ne peut pas fonctionner, et il 
faut I'associer a d'autres moyens 2 pour constituer 
un systeme de mise en oeuvre du procede de 
I'invention. II faut en particulier constituer des cir- 
cuits d'interface entre I'objet portatif, et I'ordinateur, 
ou le dispositif de traitement du logiciel ou des 
donnees dont il convient de verifier I'integrite. C'est 
par I'intermediaire de ce dispositif de traitement ou 
de cet ordinateur, que les informations a verifier, 
de meme que les informations constituant le mes- 
sage d'origine sont exploitees dans I'objet portatif, 
suite a un dialogue s'etablissant entre les circuits 
de traitement de I'objet portatif et les circuits de 
traitement du dispositif de traitement associe. Entre 
autre, le clavier qui existe generalement sur les 
dispositifs de traitement, ou d'autres moyens d'in- 



troduction de donnees (souris, ecran tactile, etc) 
peuvent etre utilises pour etablir le dialogue avec 
I'objet portatif, notamment lorsqu'il s'agit de rentrer- 
des cles confidentielles d'acces, ou bien encore 

5 des identifiants correspondant aux messages dont 
il convient de verifier I'integrite par rapport a des 
messages d'origine. 

Les circuits d'interface peuvent etre directe- 
ment incorpores dans le dispositif de traitement ou 

w I'ordinateur, ou bien ils peuvent etre places a I'ex- 
terieur, et connectes par I'intermediaire d'une liai- 
son. Bien entendu, un connecteur est prevu entre 
I'objet portatif et les circuits d'interface ou de cou- 
plage. 

15 Lorsque le systeme est utilise pour une verifi- 

cation, dans le cas ou une seule signature portant 
sur la totalite du message original a ete memori- 
see, les circuits de traitement de I'objet portatif 
prelevent la totalite du message dont il convient de 

20 verifier I'integrite, et calculent la signature de ce 
message a verifier, en mettant en oeuvre I'algorith- 
me qu'ils contiennent, puis verifient la concordance 
ou non entre la signature stockee et la signature 
recalculee. Ceci est applicable dans le cas de 

25 messages de faible longueur. 

Par contre, lorsque le message initial a ete 
decoupe en plusieurs modules, car sa longueur est 
relativement importante, et qu'en consequence plu- 
sieurs signatures ont ete memorisees dans la me- 

30 moire de I'objet portatif, alors les circuits de traite- 
ment de ce dernier determined, dans la mesure ou 
ceci n'est pas predetermine, un nombre p de mo- 
dules devant faire I'objet d'une verification de si- 
gnatures, de meme que leur numero d'ordre. Ils 

35 reconstituent alors les modules devant faire I'objet 
d'une verification de signatures, a partir de leur 
numero d'ordre, de la meme fagon que les modu- 
les qui sont senses correspondre dans le message 
original avaient ete constitues lors du precalcul de 

40 toutes ies signatures. 

De preference, afin d'eviter qu'un fraudeur 
puisse savoir sur quelle partie du message le cal- 
cul des signatures de verification est effectue, I'en- 
semble du message est preleve par les circuits de 

45 traitement de I'objet portatif, et c'est seulement a 
I'interieur de celui-ci que s'effectue le tri. Bien 
entendu, dans la mesure ou le message peut avoir 
une longueur tres importante, nettement superieure 
a la capacite de memoire de I'objet portatif, les 

50 circuits de traitement peuvent se contenter de lire 
au passage les donnees constitutives du message 
a verifier, et de ne tenir compte que des donnees 
pouvant servir de base aux signatures a verifier. 
Egalement, comme il a ete evoque precedem- 

55 ment, une m§me carte peut contenir les signatures 
associees a plusieurs logiciels. Afin de pouvoir 
distinguer ces signatures, on peut prevoir dans 
I'objet portatif une zone de controle contenant des 
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informations relatives a I'identite de chaque logiciel 
dont au moins une signature a ete memorisee, 
cette zone de controle indiquant en outre aux cir- 
cuits de traitement a quelles adresses en memoire 
se situent les signatures relatives a un message 
d'origine donne. II peut s'agir d'un numero d'ordre, 
ou bien encore de tout autre type d'information 
permettant de reperer quel message doit faire Pob- 
jet d'une comparaison. Dans un tel cas, au moment 
d'une verification, il est prevu que le systeme de- 
mande a I'utilisateur le numero ou I'identite du 
message devant faire I'objet de la verification. 

Enfin, dans une variante perfectionnee, on pre- 
voit que dans le cas ou le message est modifie de 
fagon volontaire en vue d'une mise a jour, alors 
une mise a jour de chaque signature correspon- 
dante memorisee dans I'objet portatif, puisse avoir 
lieu. Dans ce cas, sous controle de I'utilisateur, une 
reinscription complete des nouvelles signatures 
correspondant au message modifie peut avoir lieu, 
soit dans une autre zone de la memoire de I'objet 
portatif, soit dans la mime zone, qui est alors par 
exemple de type EEPROM, c'est-a-dire qu'elle est 
effagable et reprogrammable electriquement sous 
controle des circuits de I'objet portatif. Ceci est 
totalement a la portee de I'homme de Part, puisque 
des objets portatifs du type cartes a memoire et 
microcircuits electroniques incorporent g£ne>ale- 
ment des memoires de ce type, et il peut §tre 
prevu au niveau des bornes de contact entre ces 
objets portatifs et un syteme exterieur, en plus des 
bornes necessaires a I'alimentation et au transfert 
des donnees, une borne necessaire a la program- 
mation ou a I'effacement .de certaines zones de 
memoire. Dans d'autres cas, les tensions de pro- 
grammation sont fournies par I'objet portatif lui- 
meme. Cependant, dans chaque cas, I'effacement 
et la reinscription de nouvelles signatures en me- 
moire s'effectuent de fagon selective, et n'affectent 
que les zones qui doivent etre modifiees. 

[.'invention est done particulierement avanta- 
geuse, car elle permet d'une fagon simple, sure et 
relativement peu couteuse de s'assurer de I'integri- 
te d'un message constitue par un logiciel et/ou par 
des donnees memorises sur un support informati- 
que. II peut s'agir de messages qui ont ete charges 
a partir d'un original et qui ont ete modifies, soit 
suite a une intrusion sur le site meme ou elles se 
trouvent, soit a distance, par Pintermediaire d'une 
ligne de transmission. 

II est bien entendu que des modifications peu- 
vent etre apportees au procede et au systeme pour 
sa mise en oeuvre, sans qu'elles sortent pour au- 
tant du cadre de la presente invention. 



Revendications 



1. Procede pour verifier I'integrite, par rapport 
a un message original, d'un message contenant 
des informations, telles que les instructions d'un 
programme informatique et/ou des donnees infor- 

5 matiques, du genre consistant a faire calculer par 
des circuits de traitement une signature (S) a partir 
du message original (M) a laquelle on applique un 
algorithme de transformation (A), caracterise en ce 
qu'il consiste d'une part a faire prendre en compte 

10 par les circuits de traitement au moins une partie 
du message, et a faire calculer, en fonction de 
cette partie sur laquelle I'algorithme (A) est appli- 
que, au moins une signature (S, S1 , S2 ... Sm), a 
associer au message original un objet portatif (1) 

15 electronique possedant des circuits de traitement 
(11) et au moins une zone de memoire (10) non 
volatile, et accessible par les seuls circuits de 
traitement de I'objet, et a memoriser chaque signa- 
ture (S, S1, S2 ... Sm) du message original dans 

20 ladite zone (10) de memoire sous controle des 
circuits de traitement susceptibles par ailleurs d'im- 
plementer I'algorithme (A), et en ce qu'il consiste 
d'autre part, pour verifier I'integrite d'un message, 
par rapport au message d'origine, a faire recalculer 

25 par les circuits de traitement (11) de I'objet portatif, 
par mise en oeuvre de I'algorithme (A), sans la 
divulguer a I'exterieur, au moins une signature d'au 
moins une partie du message a verifier, et a faire 
comparer par les circuits de traitement de I'objet 

30 portatif chaque signature recalculee avec chaque 
signature sensee correspondre memorisee dans la 
zone (10) de memoire de I'objet portatif, et a faire 
indiquer a un utilisateur, par des moyens externes 
(2) a I'objet portatif, la concordance ou non lors de 

as la comparaison. 

2. Procede selon la revendication 1 , caracterise 
en ce que I'algorithme (A) est un algorithme de 
chiffrement qui prend en compte, pour le calcul de 
chaque signature en vue de leur stockage dans la 

40 memoire de I'objet portatif, de meme que pour le 
calcul des signatures en vue de la verification, au 
moins une cle secrete K memorisee dans la zone 
(1 0) de memoire de I'objet portatif non accessible, 
autrement que sous controle de ses circuits de 

45 traitement. 

3. Procede selon la revendication 2, caracterise 
en ce que la cle (K) utilisee pour le chiffrement 
d'au moins une partie du message original, en vue 
de la memorisation d'au moins une signature, de 

50 meme que pour le chiffrement d'un message en 
vue de sa verification est determinee au moment 
du chiffrement en vue de la memorisation des 
signatures, et est introduite dans la memoire de 
I'objet portatif, sous controle des circuits (11) de 

55 traitement de ce dernier, en meme temps que les 
signatures sont introduites en memoire (10) de 
I'objet portatif. 

4. Procede selon la revendication 2, caracterise 
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en ce que la cle (K) utilisee lors de la memorisation 
des signatures et lors des verifications est introdui- 
"te dans la memoire (10) de I'objet portatif suite a 
sa fabrication, de fagon a n'etre accessible que 
sous controle des circuits (11) de traitement de 
I'objet portatif. 

5. Procede selon Tune quelconque des reven- 
dications precedentes, caracterise en ce que le 
calcul d'au moins une signature, a partir du messa- 
ge d'origine, en vue de sa memorisation dans ia 
zone de memoire de I'objet portatif est effectue par 
des circuits (2) exterieurs aux circuits (11) de I'ob- 
jet portatif, dans lesquels I'algorithme de transfor- 
mation (A) est implante. 

6. Procede selon I'une quelconque des reven- 
dications precedentes, caracterise en ce qu'il 
consists a faire calculer par des circuits de traite- 
ment une seule signature (S) par application de 
I'algorithme de transformation (A) sur I'ensemble 
du message d'origine, et en ce qu'il consiste au 
moment de la verification a calculer une seule 
signature a partir du message dont I'integrite doit 
etre verified par rapport au message d'origine, 
message a verifier auquel on applique I'algorithme 
de transformation (A), et en ce qu'il consiste a 
verifier la concordance entre la signature memori- 
sed et la signature recalculed. 

7. Procede selon I'une quelconque des reven- 
dications 1 a 5, caracterise en ce que le message 
original est decoupe en plusieurs modules (M1 , M2 
... Mm), et en ce qu'une signature (S1 , S2 ... Sm) 
de chacun de ces modules est calculee et est 
memorised dans la memoire de I'objet portatif, afin 
de servir de reference pour les verifications uite- 
rieures, et en ce que pour verifier I'integrite d'un 
message, par rapport au message d'origine, les 
circuits de traitement reconstituent un nombre (p) 
determine de modules sur le message a verifier, 
puis calculent la signature de chacun de ces (p) 
modules, et comparent chaque signature ainsi cal- 
culee avec la signature du module correspondant 
stocked dans la memoire de I'objet portatif. 

8. Procede selon la revendication 7, caracterise 
en ce que le nombre (p) de modules sur lequel la 
verification est effectued est inferieur au nombre 
total (m) des modules, de fagon a reduire le temps 
de calcul des signatures a verifier par rapport au 
temps de calcul qu'il faudrait pour verifier la totalite 
des signatures, et est choisi, en fonction du nom- 
bre total (m) de modules qu'il contient, de fagon a 
ce que la probabilite de decouvrir une alteration 
soit suffisante. 

9. Procede selon la revendication 7, caracterise 
en ce que le nombre (p) de modules sur lequel la 
verification va porter est calcule, au moment d'une 
verification, par les circuits de traitement de I'objet 
portatif, en fonction du nombre total (m) de modu- 
les que renferme le message d'origine, de fagon a 



conferer une bonne probabilite de detection d'alte- 
ration lors de la verification des signatures. 

10. Procede selon I'une quelconque des reven- 
dications 7 a 9, caracterise en ce que, pour deter- 

5 miner le numero des modules sur lesquels va 
porter la verification de signatures, les circuits de 
traitement de I'objet portatif effectuent (p) tirages 
successifs de nombres aleatoires differents, cha- 
que nombre aleatoire determinant le numero d'un 

70 module sur lequel doit porter la verification. 

11. Procede selon I'une quelconque des reven- 
dications 7 a 9, caracterise en ce que, pour deter- 
miner le numero des modules sur lesquels doit 
porter la verification de signatures, parmi les (m) 

J5 modules que contient le message d'origine, les 
circuits de traitement de I'objet portatif effectuent 
un tirage d'un nombre binaire (a) de longueur (m) 
exprimed en bits de sorte que la longueur du 
nombre aleatoire tire est directement representative 

20 du nombre de modules que contient le message 
d'origine, et en ce que la valeur du nombre aleatoi- 
re est issue d'un code (p) parmi (m), c'est-a-dire 
que parmi les (m) bits que contient le nombre 
aleatoire, il en existe (p) ayant une certaine valeur 

25 binaire (1 ou 0), alors que les (m - p) bits restant 
sont a la valeur complementaire, et en ce que 
chaque bit du nombre aleatoire pouvant etre repere 
par un numero d'ordre different, le numero des 
modules sur lesquels doit porter les verifications de 

30 signatures est determine par le numero d'ordre des 
(p) bits pris parmi les (m) dans le nombre aleatoire. 

12. Procede selon I'une quelconque des reven- 
dications 7 a 11, caracterise en ce qu'un message 
est constitue d'une succession de bits reperables 

35 par leur numero d'ordre ou leur adresse en fonc- 
tion de la position qu'ils occupent dans le messa- 
ge, et en ce que les circuits de traitement elabo- 
rent les differents modules (M1, M2 ... Mm), a 
partir du message d'origine, afin de calculer la 

40 signature de chacun de ces modules, avant d'en- 
traTner leur memorisation par les circuits de me- 
moire de I'objet portatif, de la fagon suivante : 
-chaque module est constitue en prelevant un cer- 
tain nombre de bits du message selon une regie 

45 predetermined et/ou une regie elaboree par les 
circuits de traitement de I'objet portatif, prenant en 
compte par exemple des elements aleatoires, et la 
regie ayant servi a constituer chaque module a 
partir du message original est conserved dans I'ob- 

50 jet portatif, de fagon a reconstituer a partir d'un 
message a certifier les modules de ce message 
selon la meme regie que celle qui a ete utilisee 
pour la constitution des modules a partir du messa- 
ge d'origine. 

55 13. Procede selon I'une des revendications 7 a 
12, caracterise en ce que le message etant organi- 
se sous forme de mots binaires, contenant chacun 
un nombre determine de bits, une information 
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constituant une instruction ou une partie d'instruc- 
tion d'un logiciel, ou une donnee ou une partie de 
donnee, dont I'integrite doit etre preservee, pour le 
bon deroulement d'un programme mettant en oeu- 
vre ces instructions et/ou donnees, la constitution 
des modules (M1, M2 ... Mm), en vue du calcul de 
leur signature avant memorisation, et en vue du 
calcul de la signature d'au moins certains d'entre 
eux, en vue la verification de I'integrite du messa- 
ge, consiste a faire effectuer par les circuits de 
traitement devant realiser le calcul des signatures 
considerees, d'une part la constitution d'un certain 
nombre (n) de blocs (B1, B2 .... Bn), regroupant 
chacun un certain nombre d'informations, de sorte 
que chaque information ou partie d'information 
contenue dans un bloc peut etre reperee par la 
position des bits qui constituent cette information 
ou partie d'information dans le bloc considere, et 
en ce qu'il consiste, pour constituer un module 
determine, a faire prelever par les circuits de traite- 
ment, selon une regie determinee, au moins un bit 
dans chacun des blocs. 

14. Procede selon la revendication 13, caracte- 
rise en ce que le regroupement des informations, 
de fagon a constituer des blocs, s'effectue en 
prelevant les informations dans I'ordre dans lequel 
elles apparaTssent a la lecture du message. 

15. Systeme pour la mise en oeuvre du proce- 
de selon I'une quelconque des revendications 1 a 
14, caracterise en ce qu'il comporte au moins un 
objet portatif (1) comportant des circuits de traite- 
ment (11) susceptibles de mettre en oeuvre un 
algorithme (A), pour determiner au moins une si- 
gnature a partir d'au moins un message, en ce 
qu'il comporte en outre des moyens de memorisa- 
tion (10) de chaque signature calculee a partir d'un 
meme message, des moyens de connexion a un 
dispositif (2), tel qu'un ordinateur, susceptible 
d'executer ie message, les circuits de traitement 
de I'objet portatif etant agences pour d'une part, 
pouvoir executer le calcul d'au moins une signature 
d'un message qui lui est presents en vue de la 
verification de son integrite, et d'autre part pour 
effectuer la comparaison de la signature calculee 
pour verification avec une signature memorisee 
dans sa zone de memoire, et sensee correspondre 
a la signature recalculee pour verification, et des 
moyens pour faire indiquer a I'utilisateur du syste- 
me le resultat de la comparaison. 

16. Systeme selon la revendication 15, caracte- 
rise en ce que la memoire (10) de I'objet portatif 
comporte en outre une cle secrete (K) destinee a 
etre prise en compte par I'algorithme (A) lors du 
calcul des signatures. 

17. Systeme selon I'une quelconque des re- 
vendications 15 et 16, caracterise en ce que les 
circuits de memoire et/ou de traitement de I'objet 
portatif comportent des moyens pour memoriser 



les regies d'elaboration de chaque signature a par- 
tir d'un message. 

18. Systeme selon I'une quelconque des re- 
vendications 15 a 17, caracterise en ce que les 
signatures correspondant a plusieurs messages 
sont memorisees a I'interieur de la memoire de 
I'objet portatif, et en ce que I'objet portatif compor- 
te des moyens pour determiner a quel message 
d'origine appartient une signature donnee. 

19. Systeme selon I'une quelconque des re- 
vendications 15 a 18, caracterise en ce que la zone 
de memoire d'un objet portatif, dans laquelle est 
memorisee au moins une signature d'un logiciel est 
du type effacable et reprogrammable sous controle 
des circuits de traitement de I'objet portatif, de 
fagon a ce qu'en cas de modification volontaire du 
message, correspondant a une mise a jour de ce 
dernier, au moins la signature faisant suite a cette 
mise a jour puisse etre memorisee dans la memoi- 
re de I'objet portatif. 
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